Σύνδεση του SAMBA με το LDAP.
Αρχικά πρέπει να εγκαταστήσουμε τα εργαλεία διαχείρισης του εξυπηρετητή LDAP για την προσθήκη, διαγραφή, τροποποίηση των ιδιοτήτων (όπως αυτές περιγράφονται στο samba, misc και inetorgperson schema), των χρηστών, ομάδων και υπολογιστών. Τα εργαλεία αυτά είναι γραμμένα σε perl και είναι τα smbldap-tools:
#apt-get install smbldap-tools
Τα εργαλεία αυτά έχουν δύο configuration files στο /etc/smbldap-tools. Το smbldap_bind.conf και το smbldap.conf. To smbldap_bind.conf πρέπει να περιέχει σε plaintext μορφή τον rootdn χρήστη και τον κωδικό του και τα δικαιώματα του αρχείου πρέπει να είναι 440 (root.root):
#apt-get install smbldap-tools
Τα εργαλεία αυτά έχουν δύο configuration files στο /etc/smbldap-tools. Το smbldap_bind.conf και το smbldap.conf. To smbldap_bind.conf πρέπει να περιέχει σε plaintext μορφή τον rootdn χρήστη και τον κωδικό του και τα δικαιώματα του αρχείου πρέπει να είναι 440 (root.root):
############################
# Credential Configuration #
############################
slaveDN="cn=admin,dc=myhost,dc=mydomain,dc=gr"
slavePw="****"
masterDN="cn=admin,dc=myhost,dc=mydomain,dc=gr"
masterPw="****"
To smbldap.conf θα περιέχει όλες τις επιπλέον παραμέτρους που θα χρησιμοποιούν εξ’ορισμού τα smbldap-tools κατά τη δημιουργία χρηστών, ομάδων και υπολογιστών στον LDAP εξυπηρετητή. Οι παράμετροι αυτοί είναι οι εξής:
Α) To Windows SID (Security Identifier) είναι μια μοναδική τιμή μεταβλητού μήκους που προσδιορίζει μια αρχή η ομάδα ασφαλείας. Κάποια συγκεκριμένα SID είναι τα εξής:
# Credential Configuration #
############################
slaveDN="cn=admin,dc=myhost,dc=mydomain,dc=gr"
slavePw="****"
masterDN="cn=admin,dc=myhost,dc=mydomain,dc=gr"
masterPw="****"
To smbldap.conf θα περιέχει όλες τις επιπλέον παραμέτρους που θα χρησιμοποιούν εξ’ορισμού τα smbldap-tools κατά τη δημιουργία χρηστών, ομάδων και υπολογιστών στον LDAP εξυπηρετητή. Οι παράμετροι αυτοί είναι οι εξής:
Α) To Windows SID (Security Identifier) είναι μια μοναδική τιμή μεταβλητού μήκους που προσδιορίζει μια αρχή η ομάδα ασφαλείας. Κάποια συγκεκριμένα SID είναι τα εξής:
- S-1-5: NT Authority
- S-1-5-2: Ομάδα που περιλαμβάνει όλους τους χρήστες που έχουν συνδεθεί μέσω δικτύου (network connection).
- S-1-5-4: Ομάδα που περιλαμβάνει όλους τους interactive συνδεδεμένους χρήστες.
- S-1-5-5-X-Y : Ομάδα των Logon Sessions.
- S-1-5-11: Authenticated Users.
- S-1-5-7: Anonymous Users.
- S-1-5-19: Local Service.
- S-1-5-20: Network Service.
- S-1-5-32-544 Builtin Admins.
- S-1-5-32-545 Builtin Users.
- S-1-5-32-546 Builtin Guests.
- S-1-5-32-547 Builtin Power Users.
- S-1-5-21-X-Y: Αρχικό format του
SID.
- S-1-5-domain-500 Administrator.
- S-1-5-domain-501 Guest.
- S-1-5-domain-512 Domain Admins.
- S-1-5-domain-513 Domain Users.
- S-1-5-domain-514 Domain Guests.
- S-1-5-domain-515 Domain Computers.
- S-1-5-domain-516 Domain Controllers.
Όπου To μοναδικό SID του Domain
για παράδειγμα:
#net getlocalsid
SID for domain LDAP is: S-1-5-21-2412441050-3785851261-2107059172
#net groupmap list
Domain Admins (S-1-5-21-2412441050-3785851261-2107059172-512) -> Domain Admins
Domain Users (S-1-5-21-2412441050-3785851261-2107059172-513) -> Domain Users
Domain Guests (S-1-5-21-2412441050-3785851261-2107059172-514) -> Domain Guests
Domain Computers (S-1-5-21-2412441050-3785851261-2107059172-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators
Users (S-1-5-32-545) -> 2000
#net getlocalsid
SID for domain LDAP is: S-1-5-21-2412441050-3785851261-2107059172
#net groupmap list
Domain Admins (S-1-5-21-2412441050-3785851261-2107059172-512) -> Domain Admins
Domain Users (S-1-5-21-2412441050-3785851261-2107059172-513) -> Domain Users
Domain Guests (S-1-5-21-2412441050-3785851261-2107059172-514) -> Domain Guests
Domain Computers (S-1-5-21-2412441050-3785851261-2107059172-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators
Users (S-1-5-32-545) -> 2000
Για να ρυθμίσουμε τώρα τα smbldap_tools πρέπει πρώτα να αντιγράψουμε στο configuration file smbldap.conf το Domain SID:
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-2412441050-3785851261-2107059172"
# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="LDAP"
Β) Στη συνέχεια δηλώνουμε ποιος είναι ο LDAP εξυπηρετητής:
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
ldapTLS="0"
verify="none"
suffix="dc=myhost,dc=mydomain,dc=gr"
Γ) Μετά δηλώνουμε σε πιο οργανικό κομμάτι του LDAP θα βρίσκονται οι ομάδες οι χρήστες και οι υπολογιστές του DOMAIN μας:
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}" ;
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-2412441050-3785851261-2107059172"
# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="LDAP"
Β) Στη συνέχεια δηλώνουμε ποιος είναι ο LDAP εξυπηρετητής:
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
ldapTLS="0"
verify="none"
suffix="dc=myhost,dc=mydomain,dc=gr"
Γ) Μετά δηλώνουμε σε πιο οργανικό κομμάτι του LDAP θα βρίσκονται οι ομάδες οι χρήστες και οι υπολογιστές του DOMAIN μας:
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}" ;
Χρησιμοποιείται για την αποθήκευση των αντιστοιχήσεων μεταξύ UNIX GID και SAMBA SID στον LDAP εξυπηρετητή. Είναι απαραίτητο εάν θέλουμε να δημιουργήσουμε UNIX ομάδες και να τις συνδέσουμε πάνω από LDAP με κάποια από τις ομάδες (Domain Admins, Domain Users, Domain Guests) ή να τις κάνουμε map με κάποιο άλλο SID.
Χρειάζεται δε και το πακέτο winbind. Εάν τώρα κάποιος δεν θέλει να χρησιμοποιήσει το winbind μπορεί να φτιάξει χειροκίνητα τις UNIX ομάδες και τις SAMBA ομάδες που επιθυμεί και χρησιμοποιώντας το net groupmap να τις συνδέσει μεταξύ τους ως εξής:
Για την Unix ομάδα: domadm:x:502:joe,john,mary, Σύνδεσέ τη με τη SAMBA ομάδα Domain Admins ως εξής:
# net groupmap add ntgroup="Domain Admins" unixgroup=domadm rid=512 type=d
# Where to store next uidNumber and gidNumber available for new users and groups
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
Για την Unix ομάδα: domadm:x:502:joe,john,mary, Σύνδεσέ τη με τη SAMBA ομάδα Domain Admins ως εξής:
# net groupmap add ntgroup="Domain Admins" unixgroup=domadm rid=512 type=d
# Where to store next uidNumber and gidNumber available for new users and groups
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
crypt_salt_format="%s"
Δ) Στη συνέχεια πρέπει να γίνουν οι ρυθμίσεις που αφορούν την UNIX πρόσβαση του χρήστη:
userLoginShell="/bin/bash"
userHome="/home/samba/homes/%U"
userHomeDirectoryMode="700"
userGecos="System User"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/home/samba/skel"
defaultMaxPasswordAge="999999999"
Ε) Τέλος πρέπει να γίνουν οι ρυθμίσεις που αφορούν την πρόσβαση στο DOMAIN του χρήστη:
userSmbHome="" ;Το δηλώσαμε στο smb.conf
userProfile="" ; το δηλώσαμε στο smb.conf
userHomeDrive="H:"
userScript="logon.bat"
mailDomain="mydomain.gr"
Μετά από αυτές τις ρυθμίσεις τα smblap-tools είναι έτοιμα για χρήση, μένουν μόνο κάποιες τελικές ρυθμίσεις στο SAMBA εξυπηρετητή.
Δ) Στη συνέχεια πρέπει να γίνουν οι ρυθμίσεις που αφορούν την UNIX πρόσβαση του χρήστη:
userLoginShell="/bin/bash"
userHome="/home/samba/homes/%U"
userHomeDirectoryMode="700"
userGecos="System User"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/home/samba/skel"
defaultMaxPasswordAge="999999999"
Ε) Τέλος πρέπει να γίνουν οι ρυθμίσεις που αφορούν την πρόσβαση στο DOMAIN του χρήστη:
userSmbHome="" ;Το δηλώσαμε στο smb.conf
userProfile="" ; το δηλώσαμε στο smb.conf
userHomeDrive="H:"
userScript="logon.bat"
mailDomain="mydomain.gr"
Μετά από αυτές τις ρυθμίσεις τα smblap-tools είναι έτοιμα για χρήση, μένουν μόνο κάποιες τελικές ρυθμίσεις στο SAMBA εξυπηρετητή.
Μοιραστείτε αυτό το άρθρο
| < Προηγούμενο | Επόμενο > |
|---|
nice
nice
Borse Designer,Gucci Sito Ufficiale http://www.guccioutletsito2012....
Borse Designer,Gucci Sito Ufficiale conosciuto per essere il miglio...